Tax season is officially in the rear view, which means most of us are breathing a sigh of relief. Mas alguns de nós permanecem ansiosos. Não se trata da chance de sermos auditados (que é pequena, embora assustadora), mas sim do medo de que nossa identidade seja roubada.
Se você é autônomo – seja um motorista Uber, um artista Etsy, ou algo menos do século 21 (como um jornalista freelancer) – as empresas que lhe pagam são legalmente obrigadas a fornecer um 1099 para ajudá-lo a preparar seus impostos. E com a explosão da “economia compartilhada”, mais pessoas estão recebendo esses documentos em vez de W-2s, o formulário de impostos reservado aos empregados. As empresas enviam fisicamente os 1099s, mas como os erros acontecem, os prazos de impostos são imutáveis e a Internet é tão conveniente, alguns departamentos financeiros enviam esses formulários por e-mail.
E muitas vezes, eles enviam esses formulários por e-mail sem encriptação, mesmo que isso seja imprudente. Isso porque esses documentos carregam dados sensíveis como números do Seguro Social e o e-mail é um alvo principal para hackers que procuram identidades para roubar.
Se você não acha que isso pode acontecer com você, considere isto. Nos últimos seis anos, mais de meia dúzia de pessoas me enviaram por e-mail formulários financeiros não criptografados contendo informações de identificação pessoal. Uma empresa – uma grande marca americana multimilionária – até o fez duas vezes.
“Os números da segurança social são mais susceptíveis e mais valiosos do que nunca”, diz Rob Douglas, um consultor de segurança especializado em roubo de identidade e golpes. Douglas testemunhou pela primeira vez perante o Congresso sobre a proteção de informações de identificação pessoal em 1998. Desde então, a única coisa que mudou foi o quão fácil se tornou para os fraudadores roubar nossos dígitos sensíveis.
Desde o enorme grau de roubo de identidade ligado ao Office of Personnel Management hack até os bilhões perdidos em fraudes de reembolso de impostos, é claro que há muitas coisas que os bandidos podem fazer com o seu número de Previdência Social. “Os criminosos adoram este crime, porque é um crime que paga, e há tão pouco interesse do promotor público”, diz Douglas. Por exemplo, a polícia de San Diego não vai nem olhar para um caso de roubo de identidade a menos que haja pelo menos 40 mil dólares envolvidos, diz Douglas, porque são muitos. Imagine ter essa quantia levantada da sua conta bancária hoje e não encontrar ninguém disposto a ajudá-lo amanhã.
Então, naturalmente, você assumiria que é ilegal tratar as informações vitais de alguém de forma tão descuidada, certo? Errado. Embora o número do Seguro Social seja um identificador federal, os estados têm autoridade sobre como eles são tratados, o que significa que os protocolos variam. Atualmente, apenas 12 estados restringem o envio físico de números do Seguro Social, mas nenhum estado os proíbe de enviá-los por e-mail. Novamente: É completamente legal colocar o número do Seguro Social de alguém em um e-mail.
Isso é um problema. Embora possamos sentir que o e-mail é seguro, e enquanto provedores como Apple, Google e Microsoft o fizeram de modo que as notas enviadas e recebidas de endereços dentro de seu domínio (gmail.com, por exemplo) sejam seguras, uma vez que uma mensagem começa a atravessar a web aberta, todas as apostas estão feitas.
Quando os e-mails são enviados, eles normalmente se movem do software do computador remetente para servidores chamados de agentes de transferência de e-mail. Eles provavelmente passarão por vários desses nós até chegarem ao destinatário. Entre esses relés, os e-mails são criptografados, mas quando eles atingem um servidor, eles são descriptografados, lidos e depois re-encriptados antes de serem enviados para o próximo nó. Milton Mueller, professor de políticas públicas do Georgia Institute of Technology, adverte que este processo pode ser “imperfeito” em termos de segurança. “O conteúdo das mensagens é revelado para, e pode ser alterado por relés intermediários de e-mail”, diz ele.
Mueller diz que o problema é que os nós de e-mail são gerenciados independentemente, então a política de criptografia de um nó pode ser ligeiramente incompatível com a de outro. E alguns nós podem até estar comprometidos, permitindo que hackers acessem todas as informações que fluem através deles.
Pode proteger seus dados criptografando arquivos contendo informações privadas. Mais recentemente, com aquela grande marca americana, eu pedi que eles fizessem isso. Para meu espanto, não só um profissional financeiro desta empresa Fortune 500 não sabia como encriptar um ficheiro PDF, como também a sua equipa técnica não o sabia. (É tão simples como marcar uma caixa.) “Pessoas que deveriam saber como fazer criptografia – particularmente quando se trata de informações financeiras sensíveis – não é que não saibam como fazê-lo, nem sequer está em seu protocolo”, diz Douglas. “É impressionante que ainda não tenhamos pensado sobre este assunto”
Eu disse a esta empresa exatamente como criptografar meu arquivo, e ainda assim ele foi enviado desprotegido”. O que será necessário para que as pessoas respeitem os dados privados dos outros e os tratem de forma responsável, como fariam com as suas próprias informações sensíveis? Douglas diz que é necessário que os profissionais financeiros parem de olhar para estes sinais vitais como minúcias, como apenas números numa página, e em vez disso os vejam pelo que eles são: a identidade financeira de uma pessoa.
Mas é improvável que isso faça uma grande diferença o suficiente. Em vez disso, Douglas acredita que a única coisa que mudará a forma despreocupada como as pessoas lidam com os números do Seguro Social via e-mail ou no papel seria “uma tragédia de tal natureza de dano físico a algumas pessoas que choca a consciência da nação”.
Por exemplo, em 15 de outubro de 1999, Amy Boyer, de 20 anos, foi assassinada em frente ao seu apartamento por Liam Youens, um perseguidor que encontrou o endereço de Boyer depois de comprar seu número do Seguro Social em um site. Ele atirou nela várias vezes antes de se virar contra ela mesma. No ultraje que se seguiu, a “Lei de Amy Boyer” foi apresentada para impedir a exibição ou venda do número de Segurança Social de alguém. A lei nunca foi aprovada, então o golpe de consciência que Douglas referiu ainda não chegou.
E apesar do meu número de Segurança Social desfilando pela Internet como um guarda colorido, eu não fui vítima de roubo de identidade ou qualquer outra fraude. É minha esperança que eu esteja livre, mas Douglas não é tão otimista. “Não tenho dúvidas de que você está lá fora”, diz ele. “Estatisticamente, várias vezes.”
Contacte-nos em [email protected].